Metas WhatsApp ist einer der beliebtesten Messenger-Dienste weltweit, mit über fünf Milliarden Downloads und zwei Milliarden aktiven Nutzerinnen & Nutzern. Doch große Macht bringt auch große Verantwortung mit sich — denn WhatsApp hat offensichtlich ein Datenschutzproblem.
Laut einem Bericht von Tal Be’ery reiche es für die Angreifer aus die Rufnummer ihres Opfers zu kennen, um verschiedene Daten abfragen zu können. Hierbei können die Angreifer Informationen über die Endgeräte von Nutzerinnen und Nutzern abrufen, die denselben Dienst verwenden. Bisher gibt es keine Möglichkeiten für die Nutzerinnen und Nutzer, diese Datenfreigabe zu kontrollieren oder einzuschränken. Dabei sei es völlig unerheblich, ob die Nummer der Angreifer eingespeichert oder gar blockiert sei.
Methoden und Auswirkungen
Über die Entwicklertools des Browsers können die Angreifer bei geöffnetem Webclient von WhatsApp auf eine lokale Datenbank zugreifen. In dieser Datenbank befinden sich dann alle erforderlichen Ende-zu-Ende-verschlüsselten (E2EE) Identitätsschlüssel aller Geräte. Damit das möglich ist, muss der Angreifer lediglich die Rufnummer des Opfers hinzufügen.
Zu finden sind die Daten dann in einer Tabelle, diese enthält alle Kontakte des Opfers inklusive der Identitätsschlüssel. Dies sei allerdings nur eine der Möglichkeiten, um an die Daten heranzukommen.
Mit Hilfe dieser Strategie ist es den Angreifern möglich die Geräteinformationen kontinuierlich zu überwachen und somit feststellen, ob der Nutzer Begleitgeräte, beispielsweise ein über WhatsApp Web verbundenen Computer, besitzt. Diese Begleitgeräte lassen im Übrigen einfacher angreifen als das Hauptgerät.
Das Perfide daran ist, dass die Angreifer somit Angriffe auf die Begleitgeräte vortäuschen können, während sich der eigentliche Angriff dann auf das Hauptgerät konzentriert. Da die Nachrichten Ende-zu-Ende-verschlüsselt sind, kann der Server, auf dem die Nachrichten verarbeitet werden, nicht erkennen, dass Inhalte der Nachrichten für die Geräte unterschiedlich sind. Zudem kann sich so ziemlich jede Privatperson Zugriff auf die Methoden und Daten verschaffen.
Lösungen
Bisher hat Meta anscheinend wenig bis gar nicht auf diese Probleme reagiert. Es gibt derzeit keine verfügbaren Methoden, um sich vor solchen Angriffen zu schützen. Tal Be’ery berichtet, dass er seine Beobachtungen Meta mitgeteilt habe, aber Meta habe ihn lediglich abgewiesen und erklärt, dass es sich nicht um einen Fehler bei der Umsetzung handle, sondern um die grundsätzliche Funktionsweise des Protokolls im Design.
